Законопроект, которым вносятся поправки в статью 1280 части четвертой Гражданского кодекса РФ для легализации деятельности специалистов по информационной безопасности или пентестеров в России, прошел первое чтение в Госдуме.
Первый из пакета законопроектов, направленных на легализацию деятельности специалистов по компьютерной безопасности или, иначе говоря, пентесетров в России, принят в первом чтении.
Под ударом объекты КИИ
Один из авторов законопроекта, член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин, выступая на пленарном заседании Госдумы, напомнил, что 37% российских компаний подвергаются атакам хакеров минимум раз в месяц. Только за первую половину 2024 года количество DDoS-атак на российские организации выросло до 355 тысяч, что на 16% больше, чем за весь 2023 год. При этом под ударом зачастую оказываются объекты критической информационной инфраструктуры. Например, в сентябре этого года количество DDoS-атак на телеком-компании выросло на 74%.
«На фоне увеличившегося количества кибератак нашим государственным органам и компаниям уже мало просто иметь собственный штат ИТ-специалистов, важно систематически проводить аудит защищенности своих систем при помощи независимых профессионалов – так называемых пентестеров. Их работа должна стать сегодня такой же необходимой и систематической, как например, независимый внешний аудит финансовой отчетности или сторонние юридические проверки бизнеса. Особенно это важно, когда речь идет о защите огромных массивов персональных данных граждан и доступа к ключевым государственным системам и сервисам», – отметил депутат.
Баланс требований
Законопроект направлен на регулирование работы пентестеров, которые сегодня не спешат выходить из тени в виду существующих рисков привлечения к ответственности.
Так, для проведения тестирования защищенности систем российских компаний пентестерам требуется получить большое количество разрешений от правообладателя каждой программы, входящей в состав информационной системы. Выполнение тестирования без таких разрешений может повлечь нарушение авторских прав, и их могут обязать выплатить компенсации в размере от 10 тыс. рублей до 5 млн рублей, либо в двукратном размере стоимости права использования соответствующей программы.
«Нашим законопроектом предусмотрена возможность изучения, исследования или испытания функционирования программ лицом, правомерно владеющим экземпляром программы для ЭВМ, либо лицом, действующим по его поручению, в целях выявления его уязвимостей для исправления явных ошибок. При этом указанные действия осуществляются исключительно в отношении программ, функционирующих на технических средствах пользователя. С целью защиты прав и интересов правообладателей программы, мы предусмотрели запрет на передачу информации о выявленных недостатках третьим лицам. В то же время мы предлагаем установить обязанность лица, выявившего недостатки, сообщить о них правообладателю в течение пяти рабочих дней со дня их выявления», – пояснил Немкин.
Игра на опережение
Сегодня в онлайн-пространстве действуют уже не сотни, а десятки тысяч хакеров, большинство из них поддерживаются и финансируются спецслужбами недружественных стран. Их цель – любой ценой украсть персональные данныеграждан, которые потом будут использованы в противоправных целях, а также через уязвимости добиться вывода из строя критически важных систем. В случае успеха таких атак последствия могут быть катастрофическими и затронут миллионы граждан, если заранее не принять меры для их недопущения.
По мнению депутата, «пентестеры работают на то, чтобы определить логику потенциальных хакеров-преступников, модифицировать уязвимые места и усилить защиту информационных систем и ресурсов. Поэтому трансформация законодательства в части их работы сегодня особенно актуальна».
